• 关于我们 联系我们
当前位置:安全行业动态 → 正文

You dirty RAT:地下网络犯罪世界的“黑吃黑”

责任编辑:editor006 作者:米雪儿 |来源:企业网D1Net  2016-09-11 20:23:46 本文摘自:黑客与极客

目前,键盘记录器依然在地下网络黑市活跃,因为犯罪分子可通过部署键盘记录器,窃取密码并劫持恶意软件/僵尸网络控制面板。在获取受害者的邮箱密码后,犯罪分子就可以实施比勒索软件更加大胆的攻击行为,例如商业电子邮件攻击(也称之为“ CEO欺诈”或“电汇欺诈”)。

在商业电子邮件攻击(BEC)中,攻击者可以利用盗取的邮箱密码登录邮箱并发送电子邮件给受害者,这些邮件看起来就像是从受害者公司CEO的电子邮箱账号中发出的。

在此类商业电子邮件攻击中,攻击者不会像一般的勒索软件一样,仅勒索300美元的比特币做酬劳,而是发布伪造的官方指令,命令受害者转移大规模的资产。资产规模通常在10万美元甚至更多,而且此类钓鱼电子邮件会声称,这些资金是作为企业关键业务开展的一部分,如收购,以证明这些资金的紧急性和大额化。

FreeBuf百科:关于商业电子邮件诈骗的详细报告,请参见《BEC诈骗横行,企业员工如何防钓鱼?》

换句话说,键盘记录器中仍然存在“金矿”可捞。

目前最流行的键盘记录器之一就是KeyBase,在被其开发者抛弃前,KeyBase其实一直是被作为合法的应用程序销售的一款产品:

但是,目前KeyBase却被犯罪分子部署在地下网络犯罪市场中。

黑吃黑,想怎样?

有时候,黑客之间也存在“黑吃黑”的勾当,那可不,下面我要向大家介绍的就是这样一个故事…

据Sophos称,去年,一名黑客花费了大量时间攻击其它黑客,几乎与攻击普通用户的频率相当。这一名为“Pahan”的黑客还被称为Pahan12、Pahan123、或Pahann,他一直在多个黑客论坛出售各种黑客工具,但Sophos发现他出售的所有工具均被恶意软件感染。

例如,在2016年7月,Pahan就在LeakForums上使用“Pahan12”这一昵称,提供免费版的PHP RAT(远程访问木马)—SLICK RAT。

该SLICK RAT下载包中包含一个安装程序:

Sophos研究人员Gabor Szapannos表示,SLICK RAT可以通过KeyBase键盘记录器感染受害者,随后KeyBase可以收集密码并将数据返回给一个数据收集网站(该网站依然与Pahan 相关,因为URL中包含pahan123的文本)。

我们的猜测是,“Pahan”追踪登录LeakForums或其他黑客站点的受害者,通过各种恶意软件感染同行黑客, 以强化其在地下黑市中的排名。  

互联网充斥着“黑客论坛”,黑客们在这里了解黑客知识,甚至下载或购买黑客工具。如同在offensivecommunity(属于一个“具备大量黑客教程收集库的黑客论坛” )上一样,“Pahan”对其他黑客论坛的用户提供相同的RAT,截图如下:

“黑吃黑”的历史

有趣的是,Pahan这种推销一种网络犯罪工具却用另一种软件感染它的把戏并不只有上面这么一出:

除2016年7月的那次外,Sophos还发现了2起 Pahan试图通过恶意软件感染黑客的案例:

2015年11月,Pahan在一个黑客论坛提供Aegis Crypter(将恶意软件从杀毒扫描器下混淆并隐藏的工具)免费下载途径。

但是Pahan提供的Aegis软件版本中存在自己的“秘密武器”:一个名为“Troj/RxBot ”的僵尸木马,它可以将受感染的计算机连接到IRC服务器上,进而发送远程指挥和控制指令到僵尸网络中。服务器中的IRC频道被“pahan12 ”和“pahan123”(均为pahan昵称)控制。 

此外,在2016年3月,“Pahann”(Pahan 又一昵称)在地下网站兜售一个版本的KeyBase工具包,用于生成键盘 记录文件,如图所示:

有趣的是,该KeyBase恶意软件生成工具包自身被感染了,如图所示:

如上图的预警信息所示,Pahan通过COM Surrogate恶意软件感染买家,之后再次下载RxBot(将计算机束缚在僵尸网络内的木马)。

截止目前,对于Pahan而言事情变得日益复杂,他出售SLICK RAT又通过KeyBase感染它;出售Aegis Crypter又利用Troj/RxBot恶意软件感染它;出售KeyBase随后又用COM Surrogate(传播Troj/RxBot 以及 Cyborg)感染它…

接下来故事如何演变?

随后的事情并没有同Pahan(又名Pahan12、Pahan123、或Pahann)预想地一般顺利…

2016年8月11日,当我们回顾过去一段时间Pahan做了什么时,我们在这些有关他的数据和帖子中找到了这样一个有趣的截图:

我们不能肯定,但是我们认为Pahan/12/123/n很有可能遭到“反噬”,自己也成功被一个或多个恶意软件感染,我们认为上面的截图是从他自己的电脑中截取的。

我想,也许Pahan下一步就是要与我们在上图中看到的这些,他的谷歌云端硬盘账号中的恶意软件争夺属于自己的文件了(反噬之痛,不知感受如何呢….)

所以,如果让你写一篇“Pahan接下来将会做什么”的故事,你会如何构思呢?你打算说点什么呢?(如果你可以选择,你希望故事会是怎么样呢?)

关键字:pahan键盘记录器

本文摘自:黑客与极客

x You dirty RAT:地下网络犯罪世界的“黑吃黑” 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

You dirty RAT:地下网络犯罪世界的“黑吃黑”

责任编辑:editor006 作者:米雪儿 |来源:企业网D1Net  2016-09-11 20:23:46 本文摘自:黑客与极客

目前,键盘记录器依然在地下网络黑市活跃,因为犯罪分子可通过部署键盘记录器,窃取密码并劫持恶意软件/僵尸网络控制面板。在获取受害者的邮箱密码后,犯罪分子就可以实施比勒索软件更加大胆的攻击行为,例如商业电子邮件攻击(也称之为“ CEO欺诈”或“电汇欺诈”)。

在商业电子邮件攻击(BEC)中,攻击者可以利用盗取的邮箱密码登录邮箱并发送电子邮件给受害者,这些邮件看起来就像是从受害者公司CEO的电子邮箱账号中发出的。

在此类商业电子邮件攻击中,攻击者不会像一般的勒索软件一样,仅勒索300美元的比特币做酬劳,而是发布伪造的官方指令,命令受害者转移大规模的资产。资产规模通常在10万美元甚至更多,而且此类钓鱼电子邮件会声称,这些资金是作为企业关键业务开展的一部分,如收购,以证明这些资金的紧急性和大额化。

FreeBuf百科:关于商业电子邮件诈骗的详细报告,请参见《BEC诈骗横行,企业员工如何防钓鱼?》

换句话说,键盘记录器中仍然存在“金矿”可捞。

目前最流行的键盘记录器之一就是KeyBase,在被其开发者抛弃前,KeyBase其实一直是被作为合法的应用程序销售的一款产品:

但是,目前KeyBase却被犯罪分子部署在地下网络犯罪市场中。

黑吃黑,想怎样?

有时候,黑客之间也存在“黑吃黑”的勾当,那可不,下面我要向大家介绍的就是这样一个故事…

据Sophos称,去年,一名黑客花费了大量时间攻击其它黑客,几乎与攻击普通用户的频率相当。这一名为“Pahan”的黑客还被称为Pahan12、Pahan123、或Pahann,他一直在多个黑客论坛出售各种黑客工具,但Sophos发现他出售的所有工具均被恶意软件感染。

例如,在2016年7月,Pahan就在LeakForums上使用“Pahan12”这一昵称,提供免费版的PHP RAT(远程访问木马)—SLICK RAT。

该SLICK RAT下载包中包含一个安装程序:

Sophos研究人员Gabor Szapannos表示,SLICK RAT可以通过KeyBase键盘记录器感染受害者,随后KeyBase可以收集密码并将数据返回给一个数据收集网站(该网站依然与Pahan 相关,因为URL中包含pahan123的文本)。

我们的猜测是,“Pahan”追踪登录LeakForums或其他黑客站点的受害者,通过各种恶意软件感染同行黑客, 以强化其在地下黑市中的排名。  

互联网充斥着“黑客论坛”,黑客们在这里了解黑客知识,甚至下载或购买黑客工具。如同在offensivecommunity(属于一个“具备大量黑客教程收集库的黑客论坛” )上一样,“Pahan”对其他黑客论坛的用户提供相同的RAT,截图如下:

“黑吃黑”的历史

有趣的是,Pahan这种推销一种网络犯罪工具却用另一种软件感染它的把戏并不只有上面这么一出:

除2016年7月的那次外,Sophos还发现了2起 Pahan试图通过恶意软件感染黑客的案例:

2015年11月,Pahan在一个黑客论坛提供Aegis Crypter(将恶意软件从杀毒扫描器下混淆并隐藏的工具)免费下载途径。

但是Pahan提供的Aegis软件版本中存在自己的“秘密武器”:一个名为“Troj/RxBot ”的僵尸木马,它可以将受感染的计算机连接到IRC服务器上,进而发送远程指挥和控制指令到僵尸网络中。服务器中的IRC频道被“pahan12 ”和“pahan123”(均为pahan昵称)控制。 

此外,在2016年3月,“Pahann”(Pahan 又一昵称)在地下网站兜售一个版本的KeyBase工具包,用于生成键盘 记录文件,如图所示:

有趣的是,该KeyBase恶意软件生成工具包自身被感染了,如图所示:

如上图的预警信息所示,Pahan通过COM Surrogate恶意软件感染买家,之后再次下载RxBot(将计算机束缚在僵尸网络内的木马)。

截止目前,对于Pahan而言事情变得日益复杂,他出售SLICK RAT又通过KeyBase感染它;出售Aegis Crypter又利用Troj/RxBot恶意软件感染它;出售KeyBase随后又用COM Surrogate(传播Troj/RxBot 以及 Cyborg)感染它…

接下来故事如何演变?

随后的事情并没有同Pahan(又名Pahan12、Pahan123、或Pahann)预想地一般顺利…

2016年8月11日,当我们回顾过去一段时间Pahan做了什么时,我们在这些有关他的数据和帖子中找到了这样一个有趣的截图:

我们不能肯定,但是我们认为Pahan/12/123/n很有可能遭到“反噬”,自己也成功被一个或多个恶意软件感染,我们认为上面的截图是从他自己的电脑中截取的。

我想,也许Pahan下一步就是要与我们在上图中看到的这些,他的谷歌云端硬盘账号中的恶意软件争夺属于自己的文件了(反噬之痛,不知感受如何呢….)

所以,如果让你写一篇“Pahan接下来将会做什么”的故事,你会如何构思呢?你打算说点什么呢?(如果你可以选择,你希望故事会是怎么样呢?)

关键字:pahan键盘记录器

本文摘自:黑客与极客

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^